Aus dem Internet-Observatorium #104

Problem Cybercrime Convention / Gesichtserkennung für die Polizei

Aug 14, 2024

Es ist Sommer, aber das Internet steht nicht still. Hallo zu einer neuen Ausgabe!

Cyberkriminelle oder Menschenrechtsaktivistin? (KI-generiert via Flux)

Problem Cybercrime Convention

Vergangenen Donnerstag hat die zuständige Ad-hoc-Arbeitsgruppe der Vereinten Nationen die Cybercrime-Convention verabschiedet (pdf des Dokuments). Sie wird nun der Vollversammlung der Vereinten Nationen vorgelegt und tritt in Kraft, sobald 40 Länder sie ratifiziert haben.

Das Abkommen regelt, dass ein Mitgliedstaat bei der Untersuchung von Straftaten mit einer Mindeststrafe von vier Jahren Gefängnis die Behörden eines anderen Landes um elektronische Beweismittel ersuchen kann. Auch Daten von Internetanbietern können angefordert werden.

Damit Deutschland dem Abkommen beitritt, muss dies noch der Bundestag beschließen. Da die Strafverfolgungsbehörden bislang oft Probleme haben, wenn Server im Ausland stehen, wird es großen Druck geben, das Ganze anzunehmen.

Soweit der Rahmen - das Ganze lief ziemlich bis auf die Berichterstattung von Netzpolitik und Euractiv ziemlich im Hintergrund ab, auch ich hatte das Thema nur manchmal hier verlinkt.

Dabei ist das Thema hochrelevant. Alleine, dass Tech-Branche, Zivilgesellschaft und sogar der UN-Menschenrechtskommissar gemeinsam lautstark Kritik üben, zeigt: Das Abkommen ist gelinde gesagt umstritten. Und das nicht nur, weil 2017 ausgerechnet Russland das Vertragswerk angeregt hatte.

Ein zentraler Kritikpunkt ist die unscharfe Definition des Gegenstands. Cyberkriminalitätsvergehen werden nicht als “Straftat, die nur mit einem Computer möglich sind“ (“cyber-dependent crimes”) definiert. Sondern sie können de facto alle kriminellen Aktivitäten, die online durchgeführt werden umfassen - was also zum Beispiel in autoritären Ländern auch Meinungsdelikte sein können.

Immerhin wurde der Schutz der Menschenrechte noch in den Entwurf aufgenommen. Die Passage in der Übersetzung:

“Dieses Übereinkommen ist nicht so auszulegen, als gestatte es die Unterdrückung von der Menschenrechte oder der Grundfreiheiten, einschließlich der Rechte im Zusammenhang mit den Freiheiten der Meinungsäußerung, des Gewissens, der Meinung, der Religion oder der Weltanschauung, der friedlichen Versammlung und Versammlungs- und Vereinigungsfreiheit, in Übereinstimmung und in einer Weise, die mit den geltenden internationalen Menschenrechtsgesetzgebung.”

Russland und Iran versuchten, diesen Absatz in der finalen Verhandlungsrunde noch aus dem Entwurf streichen zu lassen, scheiterten aber.

Menschenrechte achten, diese Aufforderung klingt gut. In der Praxis aber werden demokratische Länder diesen Passus vor allem so interpretieren, dass sie keine Daten an bestimmte autoritäre Nationen weitergeben müssen.

Denn für den konkreten Schutz der Menschenrechte bei der nationalen Umsetzung des Abkommens wird auf nationales Recht verwiesen.

“Jeder Vertragsstaat stellt sicher, dass die Einrichtung, Durchführung und Anwendung der in diesem Kapitel vorgesehenen Befugnisse und Verfahren den in seinem innerstaatlichen Recht Bedingungen und Garantien unterliegt, die in seinem innerstaatlichen Recht vorgesehen sind, das den Schutz der Menschenrechte in Übereinstimmung mit seinen Verpflichtungen aus den internationalen Menschenrechtsnormen und unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit.”

Heißt: Mechanismen wie Richtervorbehalte oder die Wahrung bestimmter Schutzrechte für die digitale Privatsphäre liegen im Ermessen des jeweiligen Landes. Auch Aspekte wie Verschlüsselung und das Recht auf Anonymität spielen keine Rolle. Nebenbei impliziert das Abkommen bei entsprechender Lesart sogar einmal mehr eine Kriminalisierung von IT-Sicherheitsforschern.

In Artikel 29 und 30 wiederum erklären sich die (künftigen) Unterzeichner dazu bereit, sowohl Verkehrsdaten in Echtzeit zu sammeln, als auch Content-Daten “abzufangen”. Etwas überspitzt könnte man sagen: Mindeststandards für Monitoring und Überwachung, aber nicht für eine Umsetzung nach menschenrechtlichen Grundsätzen.

Das alles, Katitza Rodriguez von der EFF, könne zu einer neuen Art Überwachungsnetzwerk führen (übersetzt):

“Der Vertrag ermöglicht die grenzüberschreitende Überwachung und Zusammenarbeit zur Sammlung von Beweisen für schwere Straftaten und verwandelt ihn damit in ein globales Überwachungsnetz. Dies birgt ein erhebliches Risiko für grenzüberschreitende Menschenrechtsverletzungen und transnationale Unterdrückung.”

Die Cybercrime Convention ist also offenbar ganz großer Mist. Das war auch allen bewusst. Mit der einstimmigen Verabschiedung in der Arbeitsgruppe scheint sie dennoch kaum noch aufzuhalten.

Gesichtserkennung für die Polizei

Als Anfang des Jahres die RAF-Terroristin Daniela Klette verhaftet wurde, war schnell klar: Journalisten vom RBB-Podcast “Most Wanted” waren ihr schon 2023 auf die Spur gekommen. Unter anderem hatte ein Bellingcat-Journalist ihr Foto in die im Web zugängliche Gesichtserkennungs-Datenbank PimEyes hochgeladen.

Danach entspann sich eine Debatte. Warum darf die Polizei solche biometrischen Gesichtsabgleiche derzeit nur mit dem elektronischen Informationssystem der Polizei machen, nicht aber mit Webdiensten wie PimEyes?

Weil sie es kein Gesetz gibt, das es ihr erlaubt, lautete die Antwort. Und das will Bundesinnenministerin Nancy Faeser jetzt ändern.

Konkret soll das Bundeskriminalamtsgesetz geändert werden, genauer gesagt soll Bundes- und Landespolizeien der “biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet“ ermöglicht werden. Auch die Strafprozessordnung soll entsprechend angepasst werden (was allerdings in den Händen des liberal geführten Justizministeriums liegt).

Details über die Umsetzung sind im Entwurf bislang noch ausgespart. Kein Wunder - Christian Rath erinnert in bei lto.de daran, dass ein solcher biometrischer Abgleich durchaus unterschiedlich gehandhabt werden könnte: Mit der Datenbank eines privaten Unternehmens wie dem Gesichtsscraper Clearview (vgl. USA), oder aber mit einer selbstgecrawlten Datenbank, über die dann eine Software läuft.

Für Letzteres spricht aus meiner Sicht der mögliche Verstoß von Biometrie-Abgleich-Anbietern wie PimEyes gegen die Datenschutzgrundverordnung, der so ermittelte Beweise angreifbar machen könnte (für die Strafverfolger selbst wiederum gilt die DSGVO nicht, siehe Artikel 2 Absatz 2). PimEyes hat wegen möglicher Datenschutz-Verfahren seinen Firmensitz bekanntlich von Polen auf die Seychellen verlegt.

Allerdings würde eine polizeilich selbstgecrawlte Datenbank nicht nur technische Umsetzungsfragen nach sich ziehen, sondern würde womöglich vom Bundesverfassungsgericht als unerlaubte XXL-Datensammlung Unverdächtiger bewertet - und damit gekippt. Kein Wunder also, dass Details offen bleiben - der Widerspruch lässt sich womöglich gar nicht auflösen.

Die Grundsatzkritik an den Plänen von Teilen der Grünen und aus der Zivilgesellschaft zeigen wiederum ein anderes Problem: Sie argumentieren, dass mit einer solchen Möglichkeit letztlich der Totalüberwachung Tür und Tor geöffnet würde. Weil theoretisch jedes Foto in einem Crawler und damit in einer Datenbank landen könnte, über die dann der biometrischen Durchsuchungs-Algorithmus der Polizeibehörden drüber läuft.

Das ist natürlich im Prinzip ein valides Argument. IRL allerdings können auch Hobbyisten (oder Journalisten) solche Software nutzen. Und damit ist die Aussage “Die Polizei soll das Gesicht der RAF-Terroristen dieser Welt weiterhin nicht mit Web-Fundstücken abgleichen dürfen” im Sinne des gesunden Menschenverstands nur schwer zu rechtfertigen.

Darin steckt auch etwas anderes, das hier immer wieder anklingt: In der Diskussion über digitale Bürgerrechte vs. behördliche Befugnisse sind die Bürgerrechte immer stärker in der Defensive. Weil politisch das Bedürfnis nach technischer Aufrüstung in Strafverfolgung und Geheimdienstarbeit wächst, aber auch, weil in der Bevölkerung Sicherheit wieder eine höhere Priorität zu genießen scheint - ob nun wegen Ukraine-Krieg, Diskussionen über Gewaltdelikte oder der gefühlt weniger stabilen Gesamtlage insgesamt.

Das bessere Argument wäre also eigentlich nicht “Das öffnet der Totalüberwachung Tür und Tor”, sondern “Wir gehen damit einen Schritt weiter mit einer höchst problematischen Erkennungstechnologie, die in demokratisch schlechteren Zeiten durchaus auch zweckentfremdet werden könnte. Lasst uns deshalb darüber offen sprechen”. Aber der erste Satz klingt natürlich sehr theoretisch und der zweite im politischen Diskursmodus weltfremd.

Übrigens versteckt sich im Gesetzentwurf noch ein anderer Punkt, auf den verschiedene Medien heute aufmerksam geworden sind. Konkret geht es um die Möglichkeit des Bundeskriminalamts, zur Terror-Abwehr Wohnungen verdeckt durchsuchen oder Computer dort zu “verwanzen”.

Bürgerrechtlich ist das eigentlich der größere Paradigmenwechsel - denn geheime Durchsuchungen waren in der Bundesrepublik bislang nicht erlaubt. Auch nicht in der Terrorabwehr. Nun sollen sie eingesetzt werden, um zum Beispiel die Endgeräte eines Verdächtigen für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung zu präparieren.

Offensichtlich ist man auf Seiten des BKA nicht besonders erfolgreich, seine Trojaner mittels Spear-Phishing und Social Engineering zu platzieren.

Und selbstredend ergeben sich daraus verfassungsrechtliche Fragen im Sinne der Unverletzlichkeit der Wohnung (Artikel 13 GG).

Musk, Trump und X (Redux)

Weil der gemeinsame Auftritt bei X nichts wirklich Neues bietet, biete ich hier noch einmal zwei Prognosen von Ausgabe #66 feil (siehe auch Ausgabe #51):

Elon Musk wird Twitter weiter zum amerikanischen Fox News des Internetzeitalters ausbauen. Die Folgen, sowohl in den USA als auch international, sind weiterhin nicht zu unterschätzen.
Entsprechend wird er in Kauf nehmen, dass X in der EU wegen fehlender Compliance irgendwann geblockt wird oder sich zurückziehen muss. Und er wird eine Märtyrer-Geschichte dazu erzählen.